URLZoneの解析結果です。最初にURLZoneについて解説し、その後実際にC2サーバとやり取りした通信内容や取得するバイナリの復号方法について解説します。なお、個人的にURLZoneという呼び方が定着してしまっているため、本稿ではURLZoneに統一します。 はじめ…

あゆむです。今回はAPI Monitorというツールのフックの動作を簡単に調べてみました。 API Monitorとは 基本的な使い方 環境 プログラムの準備 監視の手順 API Monitorのフックを調べてみる Part1 Part2 Part3 API Monitorとは プロセス(32bit/64bit)によるAP…

マルウェア解析が趣味のあゆむです。今回はWindows7(64bit)環境下でTrickbotを解析したので、その結果をお伝えします。検体/ログ解析時の種類特定にお役立てください。モジュールの解析までは行っていませんのであしからず。 Trickbotとは 検体情報 Docfile …

Windowsにおいてプロセス間通信(IPC)に使われる名前付きパイプについて調べました。 名前付きパイプ(Named Pipe)とは CreateNamedPipe関数 パイプに関連する他の関数 名前付きパイプのアクティビティの確認方法 プログラム サーバ側のソースコード クライア…